SmokeLoaderマルウェア検出：UAC-0006グループが再浮上し、財政をテーマにした誘因でウクライナに対するフィッシング攻撃を開始

財政目的のハッキング集団として追跡されているUAC-0006が、フィッシング攻撃ベクトルを利用し、 SmokeLoaderマルウェアを配布し、サイバー脅威の舞台に戻ってきました。最新の CERT-UAサイバーセキュリティアラートによれば、脅威アクターは財政関連のメール件名を用いて、侵害されたアカウントを利用したフィッシングメールを大量に配布し、悪意あるZIP添付ファイルを使用して標的システムにマルウェアを展開しています。

UAC-0006フィッシング攻撃分析：SmokeLoaderの拡散

2023年5月5日、CERT-UAのサイバーセキュリティ研究者は、 新しいCERT-UA#6613アラート を発行し、UAC-0006として知られる著名な財政目的のハッキンググループによる進行中の敵対活動をカバーしています。脅威アクターは、フィッシングメールに添付された悪意あるアーカイブを利用して、 SmokeLoaderマルウェア サンプルを侵害されたシステム上に展開します。アーカイブは文書の誘引とJavaScriptコードを含むポリグロットファイルであり、これは実行可能ファイル portable.exe をPowerShell経由でダウンロードし起動します。後者はSmokeLoaderマルウェアを起動し、感染をさらに広げます。

進行中のキャンペーンの背後にいるUAC-0006ハッキング集団は、2013年から2021年7月にかけてサイバー脅威の舞台で注目されています。このグループは通常、最初の攻撃段階でJavaScriptファイルアップローダーを使用します。典型的な敵対的行動パターンには、リモートバンキングサービスへのアクセス獲得、認証情報（パスワード、鍵、証明書など）の盗難、およびHVNCボットを直接侵害されたシステムから実行することで不正な支払いを行うことが含まれます。

脅威を最小限に抑えるための推奨される緩和策には、潜在的に侵害されたコンピューター上でWindows Script Hostをブロックすることが含まれます。この緩和設定を有効にするために、CERT-UAの研究者は、DWORDタイプと値”0″をもつ”Enabled”プロパティをレジストリブランチ {HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE}SoftwareMicrosoftWindows Script HostSettings に追加することを提案しています。

UAC-0006グループによって普及され、CERT-UA#6613アラートでカバーされたSmokeLoaderマルウェアの検出

ウクライナの組織に対するロシア系アクターによるフィッシング攻撃の量と巧妙さの増大に伴い、組織は可能な侵入に先んじて耐えられる信頼できる検出コンテンツのソースを必要とします。SOC PrimeのDetection as Code Platformは、CERT-UAの照会で取り上げられた敵対者のTTPに関する精選されたSigmaルールのリストを集約しています。すべての検出コンテンツは、28+のSIEM、EDR、およびXDRソリューションと互換性があり、 MITRE ATT&CKフレームワーク v12にマップされています。

以下の Explore Detections ボタンを押して、UAC-0006による最新のSmokeLoaderキャンペーンを識別するための検出コンテンツに飛び込みましょう。すべてのルールは、ATT&CKの参照とCTIリンクを含む関連メタデータで補強されています。コンテンツ検索を簡素化するために、SOC Prime Platformは、アラートとグループ識別子に基づいたカスタムタグ“CERT-UA#6613”およびより広範なタグ“UAC-0006”でのフィルタリングをサポートしています。

Explore Detections

セキュリティ実務者は、最新のUAC-0006キャンペーンに関連するIoCを検索しようと、IoCを Uncoder.IOにコピー&ペーストすることで、ウクライナ組織に対する最新のUAC-0006キャンペーンの関連するIoCを検索できます。ツールに入力すると、数秒で性能最適化されたクエリに変換することが可能です。 CERT-UA report into the tool and easily convert it to performance-optimized query in a matter of seconds. 

MITRE ATT&CKコンテキスト

SmokeLoaderマルウェアを利用した進行中のUAC-0006フィッシング攻撃の背後にあるコンテキストに深入りするために、上記のすべての参照されたSigmaルールには、関連する戦術と技術に関するATT&CK v12タグが付けられています：